Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보국내 통신사 타겟팅 DNS Request Flooding 공격 악성코드
작성일 2014-12-23 조회 1242
1.     개요
 
국내 특정 기관을 대상으로 DNS Request Flooding 공격이 이루어졌다. 해당 공격은 GNU Bash Environment Variable Command Injection 취약점을 이용한 좀비 호스트 확보, 취약한 공유기를 대상으로 좀비 호스트 확보하여 악성 행위를 진행한 것으로 예상된다. 좀비화 된 호스트들은 추가 악성 코드의 다운로드 및 실행을 통해 특정 기관을 대상으로 공격을 수행하게 된다. GNU Bash Environment Variable을 이용한 공격은 발견된 14년 9월말 경부터 지금까지 지속적으로 이루어져 좀비 호스트를 확보한 것으로 보이며 공격자는 Lightaidra 유형의 악성 코드를 이용하여 취약한 공유 telnet 서비스를 대상으로 공격 수행 및 루트 권한 획득하는 방식으로 좀비 호스트를 확보한 것으로 보인다. 본 문서는 위와 같은 공격 형태와 악성 행위에 대해 확인하고자 한다.
 


[그림1. GNU Bash 관련 취약점 이용한 악성 코드의 위험성에 대한 게시글]
 
2.     예상 공격 흐름도
1)     GNU Bash Environment Variable 이용한 공격 흐름
-       GNU Bash Environment Variable 취약점을 이용, 원격의 호스트에 shell 명령어 수행하며 원격의 호스트에 추가 악성 코드 다운로드 후, 분산 서비스 거부 공격을 수행한다.



[그림2. GNU Bash Shell 취약점 이용한 예상 공격 진행 흐름도]
 
2)     취약한 공유기를 이용한 공격 흐름
-       Lightaidra 유형의 악성 코드 이용하여 공유기 중 telnet 서비스를 사용하며 기본 계정을 가진 공유기를 스캔한 뒤, 계정 탈취를 시도한다. 이후 추가 악성 코드 다운로드 및 분산 서비스 거부 공격을 수행한다.



[그림3. 취약한 공유기 이용한 예상 공격 진행 흐름도]
 
3.     확인 및 분석
1)     GNU Bash Environment Variable 이용한 악성 코드
1-1)         IRC 통신을 통해 C&C의 명령을 대기한다.
1-2)         악성 코드는 감염 호스트의 DNS 설정 값 변경을 시도한다.
[그림4. 감염 호스트의 DNS 설정 변경을 위한 작업]
 
1-3)         C&C로부터 kill, udp, syn, tcpamp, http, dns, mineloris, dildos 등의 명령을 수신 받으며 공격을 수행한다.
[그림5. C&C로부터 수신받는 dns 명령어 수신 후 그에 따른 행위를 위한 부분]
 
1-4)         C&C로부터 DNS 명령을 수신 받은 악성 코드는 특정 공격 대상 서버로 임의의 질의 도메인을 세팅한 뒤 무차별 질의를 시작한다.
 
2)     취약한 공유기 이용한 악성 코드
분산 서비스 거부 공격 그리고 좀비 호스트 확보를 위한 스캐닝 2가지로 행위를 나눌 수 있다.
2-1) 분산 서비스 거부 공격은 아래 그림과 같이 해당 악성 코드 바이너리에 포함된 문자열로 그 악성 행위를 확인할 수 있다. IRC 통신을 통해 명령을 수신 받으며 공격 행위를 한다는 것을 예상할 수 있다.



 [그림6. IRC 통신을 통한 명령 수신, 공격 수행 로직 확인]
 
2-2) 좀비 호스트 확보를 위한 스캐닝 작업은 telnet 서비스를 운용 중이며 기본 계정 정보를 가진 공유기를 대상으로 진행한다. 확인된 감염 호스트는 공유기로만 파악되나 IPTV, IP 카메라 등의 장비도 공격자의 타겟이 될 수 있다. 공격자는 admin/admin, root/admin 등의 기본 계정 정보를 바탕으로 시스템 권한 탈취를 시도 한다.



[그림7. 좀비 호스트를 확보하기 위한 Scan 명령]
 
2-3) 특정 공유기의 firmwarecfg 버그를 이용하여 좀비 호스트 확보를 시도하는데, 이 버그는 2009년 특정 공유기에서 확인된 버그로 이를 활용하기 위해 악성 코드 내부 바이너리에 하드 코딩 상태로 /cgi-bin/firmwarecfg URI를 저장하고 있다. 이를 이용하여 HTTP Request POST 패킷을 전송한다.



[그림8. 취약한 버전의 공유기에 대한 공격 위한 악성 문자열]
 
2-4) 스캐닝 이후 좀비 호스트에 추가적인 악성 코드를 다운로드 하며 독립적인 악성 행위를 위해 기존에 악성 코드가 존재하면 이를 제거하고 자신의 악성 코드를 다운로드하며 이를 실행한다.



[그림 9, 독립적인 악성 행위를 위한 일련 행위]
 
2-5) /tmp/var/run 혹은 /var/run 하위에 .lightpid, .lightscan, mips, mipse, ppc 등의 악성 코드를 생성하며 이를 실행한다. 악성 코드는 감염 호스트의 CPU Architecture 별로 서로 다른 파일로 동작한다.
 
4.     정리
최근 DNS Flooding과 같은 분산 서비스 거부 공격 형태가 확인되고 있으면서 그에 대한 우려가 점점 커져가고 있다. GNU Bash Environment Variable 취약점을 가진 호스트 및 사용자에게 가까이 있지만 공격자에게 취약한 목표 대상이 되고 있는 공유기를 이용한 것으로 예상된다. Linux 기반 장비들이 공격자의 타겟이 되면서 분산 서비스 거부 공격을 위한 좀비화가 광범위하게 이뤄진 것으로 예상되는 만큼 이에 대한 대응 또한 어려울 것으로 예상된다. 관리하고 있는 취약한 Bash Shell을 사용하는 장비에 대한 점검/확인이 반드시 이루어져야 할 것이라 생각된다. 또한 쉽게 간과할 수 있는 주위의 리눅스 기반의 네트워크 장비들에 대한 기본 서비스 점검, 계정 점검, 시스템 로그 점검 등이 이루어져야 한다. 좀비 화 된 시스템의 경우, 공격자의 의도에 따라 분산 서비스 거부 공격 외 단순 정보 탈취, 시스템 파괴 및 Backdoor로써도 사용될 것으로 예상되는 만큼 각별한 주의가 예상된다.
 
5.     대응 방안
# SNIPER IPS 대응 패턴
 
1)     확인된 분산 서비스 거부 공격에 대한 대응 패턴
 
 ※     환경에 맞는 임계치 조절 필요
2)     GNU Bash Environment Variable 취약점을 이용한 좀비 호스트 확보 작업 시 대응 패턴

 
3)     취약한 공유기를 이용한 좀비 호스트 확보 작업 시 대응 패턴은 릴리즈 예정
※     추가 분석 결과 및 당사 모니터링 결과에 따라 패턴 추출 연기/불가 될 수 있음

 
 
첨부파일 첨부파일이 없습니다.
태그